SAMBA4+winbind+kerberos+AD

[AnrDaemon]

Последние 7 строк - доменные пользователи

Неверю. uid должен совпадать с UID в AD.

Код: [Выделить]

$ getent passwd
...
administrator:*:10001:10001:Administrator:/home/Administrator:/bin/bash
mc-superflat:*:10002:10002:mc-superflat:/home/mc-superflat:/bin/bash
anrdaemon:*:10000:10001:Andrey Repin:/home/anrdaemon:/bin/bash

[civilization]

Я бы не стал просить помощи, если бы не наткнулся на эти грабли  . И тем не менее в AD пользователю прописан uid 10101, а idmap нарисовал ему 1118... Т.е. маппирование явно делалось только для домена *, а mydom (MYDOM) он упорно не видит. В мане по smb.conf написано что для имен параметров и пр. (для всего, что слева от "=" "Section and parameter names are not case sensitive"). Вопрос только, как же написать чувствительное к регистру имя домена в имени параметра?

[AnrDaemon]

Т.е. у вас где-то что-то недоделано. Либо сделано не через AD idmap, а как-то иначе. Возможно, руками через TDB мапинг писался.
И, да, у вас часом лево и право не попутаны?…

[civilization]

Понимаю, что что-то недоделано. Конфиг свой приводил в начале темы. В последнем варианте он приведен к виду который AnrDaemon предложил в предпоследнем своем посте (в плане настройки idmap). Вопрос к AnrDaemon - у вас приведенная конфигурация работает на samba 4.3.11 и генерились ли базы idmap на этой версии (или на предыдущеих версиях)? По ощущениям - либо недоставлен какой-то пакет (только непонятно какой), либо это баг в idmap или winbind, может и в парсере конфига.

[AnrDaemon]

Ничего не генерилось, всё работает через AD и только через AD.

Код: [Выделить]

$ smbd --version
Version 4.3.11-Ubuntu

$ dpkg --list libpam\* libnss\* | grep -vE "^u"
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name                                  Version                              Architecture Description
+++-=====================================-====================================-============-===============================================================================
ii  libnss-winbind:amd64                  2:4.3.11+dfsg-0ubuntu0.14.04.1       amd64        Samba nameservice integration plugins
ii  libpam-cap:amd64                      1:2.24-0ubuntu2                      amd64        PAM module for implementing capabilities
ii  libpam-cgfs                           2.0.4-0ubuntu1~ubuntu14.04.1         amd64        PAM module for managing cgroups for LXC
ii  libpam-krb5:amd64                     4.6-2                                amd64        PAM module for MIT Kerberos
ii  libpam-modules:amd64                  1.1.8-1ubuntu2.2                     amd64        Pluggable Authentication Modules for PAM
ii  libpam-modules-bin                    1.1.8-1ubuntu2.2                     amd64        Pluggable Authentication Modules for PAM - helper binaries
ii  libpam-runtime                        1.1.8-1ubuntu2.2                     all          Runtime support for the PAM library
ii  libpam-systemd:amd64                  204-5ubuntu20.19                     amd64        system and service manager - PAM module
ii  libpam0g:amd64                        1.1.8-1ubuntu2.2                     amd64        Pluggable Authentication Modules library

[civilization]

AnrDaemon, большое спасибо за помощь в трудную минуту, проблема решена! Проверил свои пакеты - в целом тоже самое (небыло libpam-cgfs, дополнительно стоял libpam-winbind) - доустановка на проблему не повлияла. Перебил вручную весь конфиг idmap в smb.conf и лёд тронулся. Непечатный символ прокрался через копипасту и стал причиной этой проблемы.

[AnrDaemon]

Непечатный символ прокрался

Боюсь представить, что это было!
А libpam-winbind я снёс, чтобы он мозги не пудрил.
Пользователь добавил сообщение 18 Ноября 2016, 14:00:34:А libpam-cgfs стоит после установки LXC.

[civilization]

После дефиса в диапазоне стояли кроме пробела (0x20) ещё 0x80 и 0x93 (причём они видимо не удалялись редактором т.к. я пробовал и запись без пробелов). С какого сайта они туда попали теперь не ясно (возможно проблемы смены кодировки), собирал конфиг из разных манов, т.к. хотел ещё zfs acl попользовать (но выяснилось, что в Ubuntu это только ручной сборкой самба делается и никто не пробовал).